最新 | 最热门 | 最高评价

+0  家用路由器被入侵了

Tag: *nix | fun | infosec | tcp
jaseywang 发于 2014年11月24日 13:48 | 点击: 2024 | 展开摘要
某天上网浏览网页,半天都返回不了结果,OS X 虽然不怎么样,Firefox/Chrome 浏览个网页应该没什么大问题。

最初以为是浏览器的问题,直接重启,无效;重启 Mac,继续无效。好吧,既然重启都不生效,索性咱们从专业的角度来分析分析问题。

抓包。结果令人惊讶。



我的机器主动给路由器(192.168.2.1)发送了大量的 RST 包,在没有任何主动 SYN 的情况下。第一反应就是受到中间人攻击了。

登到路由器后台一看,果真有几个不认识的客户加到了这

查看全文: http://www.udpwork.com/item/13551.html

+0  通过 execv(snoopy) 来做用户行为 audit

Tag: *nix | infosec | infrastucture
jaseywang 发于 2014年09月26日 11:17 | 点击: 2859 | 展开摘要
github 有个叫 snoopy 的项目,专门用来做 audit,比系统原生的 auditd 好用的多,思路很好,关键的就是执行任何的命令之前确保第一调用的是 /etc/ld.so/preload 里面的 snoopy.so 这个动态库文件,而他调用的则是 exec()。

* execl

* execlp

* execle

* execv

* execvp

* execve

上面 6 个 sys call 的区别仅仅在于 arg 是 list 还

查看全文: http://www.udpwork.com/item/13316.html

+0  startup 的安全问题

Tag: *nix | infosec | operations | startup
jaseywang 发于 2014年09月18日 00:24 | 点击: 2054 | 展开摘要
安全这个问题好像离绝大多数的 startup 比较遥远,好像谈到安全只有 BAT 这类规模的才会重视。

绝大多数的 startup 起家都是短糙快,怎么好搞怎么搞,怎么方便怎么搞,怎么省事怎么搞。再加上「绝大多数的创业公司都喜欢宣称自己是「平均年龄25 的年轻团队。」,正面理解起来是有活力的团队,反面理解起来,其实代表的是「招不到人,只能忽悠年轻人,组建的一只没经验靠人力时间堆砌的弱逼团队」」,其整体的安全性可想而知。

这或许在初期并没有什么问题,因为本来知道你的人就

查看全文: http://www.udpwork.com/item/13280.html

+0  OpenSSL(CVE-2014-0160)漏洞修复速度

Tag: web | infosec
jaseywang 发于 2014年04月08日 22:21 | 点击: 4173 | 展开摘要
OpenSSL 不是第一次出现这类影响非常严重的漏洞了,12 年 4 月的 CVE-2012-2110 这个漏洞当时就让我忙活了好一阵子。

今天早上扫 feedly 的时候发现了这个漏洞,迅速确认了我们线上的服务器不受影响之后就开始围观了。  

OpenSSL 官方最先挂了通知。

几个主要的发行版本都在当天(4 月 8 日)发出了 Heartbleed bug 影响以及修复方式:USN(1, 2) , DSA, Bugzilla。

要说影响,基本可以

查看全文: http://www.udpwork.com/item/12102.html

+0  遭受了 NTP 放大攻击

Tag: *nix | infosec
jaseywang 发于 2014年04月04日 14:29 | 点击: 4891 | 展开摘要
某台开放了公网的服务器流量从某时刻起突然暴涨了,登陆上去排查,ibmonitor&iftop&iptraf 三个工具结合跑一遍,直接定位到了问题的根源,遭受了 ntp amplification,现象以及细节可以看下面五张图。



整个过程中我们的带宽变化



攻击进行时通过 iftop 观察到的现象



攻击进行时通过 iptraf 观察到的现象



停止了 ntp 之后通过 iftop 观察到的



停止了 ntp 之后通过

查看全文: http://www.udpwork.com/item/12084.html

+0  弱密码的危害

Tag: *nix | infosec
jaseywang 发于 2014年03月05日 13:49 | 点击: 1869 | 展开摘要
前段时间,我收到 wooyun 上白帽子发来的一条消息,大致意思是我们的博客(wordpress)的后台被 crack 了,然后成功的拿到了 shell,最终登陆到我们的内网,由于目前我们测试跟生产环境是通过 VPN 联通的,危害可想而知。被 crack 的缘由说来好笑,由于 wordpress 同时有很多的作者,有的作者为了方便记忆,设置了非常简单的密码,简单到都不需要暴力破解。

暂时解决问题的办法也很简单,最少有如下的几种:

1. 加强密码强度,这个也是首要改进的

查看全文: http://www.udpwork.com/item/11896.html
|<<<1>>>| 一共1页, 6条记录